Analiză

Infrastructura partiala 39 Solutii

Infrastructura completa 9 Solutii

Third party support 17 Solutii

Ce trebuie sa stim despre Directiva NIS si Legea nr. 362/2018 privind securitatea retelelor si sistemelor informatice?

Informații generale despre NIS ( Legea 362/2018)

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019. Legea transpune așa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) și:

  • are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică
  • se adresează specific
    • Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
      • Energie
      • Transport
      • Sectorul bancar
      • Infrastructuri ale pieței financiare
      • Sectorul sănătății
      • Furnizarea și distribuirea de apă potabilă
      • Infrastructură digitală
    • Furnizorilor de Servicii Digitale (FSD) din trei categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing (conform art. 3 lit o)
  • stabilirea de măsuri și cerințe pentru asigurarea efectivă a securității (art. 25)
  • notificarea incidentelor survenite
    • legea stabilește cerințe de notificare a incidentelor către autoritatea națională (art. 26) pentru categoriile sus-menționate
    • pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate CERT-RO în cursul notificărilor și managementului incidentelor.
    • totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară)
  • cadrul instituțional și de cooperare: legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin:
    • desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
      • Funcția de Punct Unic de Contact la nivel național
      • Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european)
  • Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în registrul operatorilor de servicii esențiale
  • legea prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale precum și reguli privind formarea în domeniu.
[mai mult...]

Cum îmbunătățim procesele interne de monitorizare, auditare și investigare în situațiile incidentelor privind datele persoanele sau a altor aspecte observate?

Protecția datelor cu caracter personal a devenit o prioritate în cadrul multor organizații, iar o parte importantă a asigurării unui nivel adecvat de protecție este monitorizarea și auditarea proceselor de prelucrare a datelor personale. În cazul incidentelor privind datele personale sau a altor aspecte observate, este important să existe procese clare și eficiente de investigare pentru a putea identifica cauzele și a lua măsurile necesare pentru a preveni incidente similare în viitor.

Pentru a îmbunătăți procesele interne de monitorizare, auditare și investigare, organizațiile ar trebui să ia în considerare următoarele măsuri:

[mai mult...]

How do we manage to identify disclosures of personal data in a commercial company?

Here are some more details on the methods to identify disclosures of personal data in a commercial company:
  1. Monitoring and logging systems: Regularly monitoring and logging access to sensitive data can help identify any unauthorized access or disclosures. This information can be used to identify the source of the breach and the extent of the damage.
  2. Data protection impact assessments (DPIAs): DPIAs are a systematic way of assessing the impact of a data processing operation on the privacy of individuals. They help identify potential data breaches and assess the risk of disclosure. This information can be used to develop strategies to mitigate the risk of future breaches.
  3. Incident response plan: An incident response plan is a set of procedures for responding to data breaches. The plan should include steps for reporting and managing incidents, as well as steps to prevent future incidents. A well-designed incident response plan can help minimize the damage from a data breach and minimize the risk of future breaches.
  4. Employee training: Employee training is an important part of data protection and privacy. Regular training can help employees understand the importance of protecting personal data, as well as the company’s policy and procedures for reporting data breaches.
  5. Data protection audits: Data protection audits are an important way to identify any potential vulnerabilities or weaknesses in data protection systems and processes. Audits can help identify areas where improvements can be made, and help ensure that the company is in compliance with data protection laws.
  6. Third-party due diligence: Conducting due diligence on third-party service providers can help ensure that they have appropriate data protection policies and procedures in place. This can help minimize the risk of a data breach occurring as a result of third-party activities.

It’s important to note that identifying disclosures of personal data is just one step in the process of protecting personal data. Companies must also have appropriate measures in place to prevent data breaches from occurring, as well as processes for responding to breaches when they do occur. This can include technical measures such as encryption and access controls, as well as administrative measures such as employee training and incident response planning.

What are the benefits:

Disclosing personal data in a commercial company can provide several benefits, including:

  1. Improved customer experience: By using personal data, companies can tailor their products, services and customer experience to meet the individual needs and preferences of their customers.
  2. Increased efficiency: Companies can use personal data to automate and streamline business processes, making operations more efficient and cost-effective.
  3. Better decision-making: Companies can use personal data to inform and improve their decision-making, such as product development, marketing strategies, and risk management.
  4. Personalized marketing: Companies can use personal data to create targeted and personalized marketing campaigns, which can increase customer engagement and sales.
[mai mult...]